Skip to footer
T, 24.06.2025
Ilm
Horoskoop
Päevatoimetaja:
Katrin Lust
(+372) 56681734
Saada vihje
Tellijale

KÜBERRÜNNAK Häkkeri ohver: mingi kaak külmutas kõik meie pere välisel kõvakettal olevad pildid

Küberrünnakuid tehakse lisaks riikidevahelisele infosõjale ka täiesti tavaliste inimeste pihta. Nii jäi üks Harjumaa pere ilma kõikide välisel kõvakettal olevate failide kasutusõigusest, sest neid nakatati Deadbolti-nimelise pahavaraga.

Möödunud nädalal teatas veebileht techpowerup.com, et kui sul on Asustori toodetud võrku ühendatud väline kõvaketas ehk NAS (Network Attached Storage), tuleks see viivitamatult välja lülitada või võrgust lahti ühendada. Samal päeval tormas rohkelt Asustori kasutajaid Redditisse ja ettevõtte foorumitesse, kus kurdeti, et nende seadmetele on tehtud lunavararünnak Deadbolt, mis on krüpteerinud kõik kettal olevad failid. Lahtikrüpteerimise võtme lubab kurjategija saata juhul, kui üle on kantud 0,03 bitcoin'i (2. märtsi seisuga on see umbes 1200 eurot). Mitteametlikel andmetel tabas küberrünnak vähemalt 2000 seadet.

Märkimisväärne on see, et kõigest kuu aega tagasi tabas sama rünnak välise kõvaketta lahenduse tootjaid QNAP ja TerraMaster. Ka failide lahtikrüpteerimiseks vajaliku võtme saamiseks tuli üle kanda täpselt sama summa.

Ohvreid jagus ka Eestis, kus lunavararünnaku tabamuse sai Harjumaal elav perekond. Ootamatult avastas arvuti taha istunud pereisa teate, milles kirjutati:

HOIATUS: Deadbolt on Teie failid lukustanud.

Mis juhtus? Kõik Teie failid on krüpteeritud, sealhulgas fotod, dokumendid ja tabelid.

Miks mina? See ei ole personaalne rünnak. Olete üks sihtmärkidest, kuna tootja (Asustor) ei ole taganud turvalist ühendust.

Mis edasi? Teil on võimalik teha täpselt 0,030000 bitcoin'i väärtuses ülekanne aadressile /---/ (bitcoin'ide ülekandmiseks unikaalne aadress).

Kui makse on sooritatud, saate Te samale aadressile lahtikrüpteerimise võtme. Võtme saate sisestada allolevasse kasti ning Teil on taas ligipääs kõikidele oma failidele.

«Ehmatus oli suur,» tõdeb pereisa Anton, kelle sõnul sisaldasid kaks välist kõvaketast suuremas osas just aastate jooksul tehtud pilte. «Laste beebipildid, pulmapildid, reisipildid...» murdub mees sõna pealt ja lisab, et tänaseks pole veel selgeks saanud, kas ja kuidas see kõik laheneb.

IT-teadliku mehena ei osanud ta sellist asja aga ettegi näha. «Ma investeerisin spetsiaalselt sellesse lahendusse, et kõik oleks turvaline. Lisaks oli mul kaks ketast, et kui ühega peaks midagi juhtuma, siis on samad asjad veel ka teisel kettal,» räägib ta, et varundas faile väga teadlikult.

«Muu hulgas ei olnud Asustori seade mul suurema osa ajast isegi mitte sisse lülitatud, aga kuna olin just äsja haige ja kodune, siis tuli mõte mõned filmid ära vaadata, mille samuti kettale olin tõstnud. Eks siis nüüd saigi kurjategija ligi, kui selle taas sisse lülitasin,» arutleb ta.

Esimese hooga mees häkkeritele loomulikult maksma ei tõtanud, vaid asus asja uurima ametlikke kanaleid pidi. «Kõigepealt guugeldasin, et mida teised ohvrid on teinud ja mida foorumites teha soovitatakse. Seejärel kirjutasin Asustori kasutajatoele ja küsisin, mida nemad teha soovitavad,» kirjeldab ta oma tegevuskäiku, mis esialgu tulemust ei toonud.

Maksta või mitte?

Mõne päeva möödudes avaldas Asustor oma veebilehel, kuidas kõvaketas uuesti töökorda seada. «Ketastele ja failidele saan nüüd taas ligi küll, aga failide sisu ei näe,» kurvastab pereisa. Tema sõnul levivad internetis kuvatõmmised e-kirjast, kus Asustor soovitab seadme kasutajatel nõutud summa ära maksta, et lahtikrüpteerimiseks vajalik võti saada, kuid seda ta teinud ei ole.

Internetis uurimistööd tehes on Anton leidnud infot, et ohvrid, kes on kurjategija nõutud summa ära maksnud, on tõesti saanud võtme, et oma failidele taas ligi pääseda. «Kui olukord on lahenenud, siis sellest üldjuhul keegi kuskile kirjutama ei lähe. Küll aga oleks tõenäolisem vastupidine olukord, et kui makstud on, aga võtit pole vastu tulnud,» kirjeldab ta oma tähelepanekuid. Viimast ta siiski kohanud ei ole, mis annab lootust, et 0,03 bitcoin'i eest antakse failidele tõepoolest taas ligipääs.

Mehe arvates on tootja tänaseks teinud kõik, mis võimalik. «Juba on nad välja tulnud uuendusega ja jaganud soovitusi, et seadmete võrk ei oleks üles ehitatud liiga ühetaoliselt, nii et seda oleks tulevikus raskem rünnata,» sõnab ta, kuid tunnistab, et teda need nõuanded kahjuks enam ei aita.

Rünnakust tuleb teada anda

Riigi Infosüsteemi Ameti (RIA) küberintsidentide käsitlemise (CERT-EE) osakonna infoturbe eksperdi Joosep Sander Juhansoni sõnul ei ole Eesti elanikud ega ettevõtted Asustori varundusseadmeid tabanud lunavararünnakutest teada andnud. «Kindlasti tuleks rünnakuga pihta saanutel seda esimesel võimalusel teha. Sel viisil saame ülevaate sellest, kui palju selliseid intsidente Eestis on ja samas saaksime ohvrile ka nõu anda,» soovitab Juhanson.

Küll aga hoiatas varundusseadmete tootja Asustor, et Deadbolti-nimeline pahavara on nende seadmed sihikule võtnud. «Meie kogemusel on põhiliseks lunavara ründevektoriks ehk viisiks, kuidas rünne läbi viiakse, kehvasti seadistatud või turvamata kaugtöölaua protokoll (RDP). Praeguseks on tootja andnud ka omapoolsed soovitused, kuidas end lunavararünnaku eest kaitsta,» tõdeb ekspert.

Enim on registreeritud õngitsuskirju

Eestis antakse küberintsidentidest teada RIA küberintsidentide käsitlemise (CERT-EE) osakonnale, mille üks ülesanne on märgata küberruumis tavapäratusi ning olla esimene küberabi ja -nõu pakkuja neile, kes on mistahes rünnakuga pihta saanud. «Inimesed pöörduvad tavaliselt meie poole, kui nende konto on üle võetud või kui nad said kahtlase e-kirja. Aeg-ajalt saame teateid ka lunavararünnakutest,» selgitab Juhanson ja märgib, et eelmisel aastal registreeriti Eestis veidi enam kui 30 lunavararünnakut. «Need on siiski ainult need intsidendid, millest meile teada anti,» täpsustab ta.

Eelmise aasta kübersündmustest saab ülevaate värskest RIA küberturvalisuse aastaraamatust, milles on eraldi peatükk ka lunavararünnakute kohta.

2021. aasta statistika küberintsidentide kohta:

Mõjuga intsidendid 2021. aastal.

Juhansoni sõnul saab RIA teateid küberintsidentidest ja -rünnakutest iga päev ning need on eri raskusastmetega. «Ühtemoodi ohus on nii ettevõtted kui tavakasutajad. Viimased puutuvad enim kokku libakirjade ja õngitsuslehtedega, mille abil proovitakse inimeste andmeid koguda, et neid hiljem ühel või teisel moel kuritarvitada,» selgitab ekspert.

Kurjategija eesmärk on raha teenida

Juhanson märgib, et kurjategija eesmärk on pea alati raha teenida ning seda võimalikult väikeste kulutustega. «Iga kättesaadud infokild proovitakse rahaks teha, näiteks müüakse «pakkidena» õngitsuslehtede abil kogutud kasutajatunnuseid, e-posti aadresse ja paroole. Kurjategija, kes need andmed ostab, kasutab saadud infot uute ja järgmiste rünnakute läbiviimiseks,» tutvustab ta küberkurjategijate skeemi.

Seetõttu soovitab RIA inimestel oma andmeid regulaarselt varundada. «Lunavararünnak liigub arvutis kulutulena ja kiiresti ning seepärast tasub varundatud andmeid hoida eraldi. Kui seda ei tehta, krüpteeritakse nii originaal- kui ka varundatud andmed,» hoiatab ekspert ja märgib, et lunavararünnakute vastu aitab kõige enam ennetus. «Tuleb ära teha kodutöö – andmeid varundada ja hoiustada neid põhisüsteemist eraldatult. Regulaarselt tuleb uuendada ka tarkvara ning internetti käivate teenuste puhul rakendada eelnevalt mainitud meetodeid, nagu VPN, MFA või IP-piirangud,» loetleb ta abinõusid, mis teevad häkkerite elu raskemaks.

Andmeid tuleks varundada ja hoiustada eri kohtades.

Juhansoni sõnul ei tasu jääda lootma, et intsidendi järel avastatakse viis andmed dekrüpteerida. «Siiski on ka veebis olemas dekrüptoreid ehk võtmeid, mille abil saab teatud lunavaraga lukustatud andmeid avada,» tõdeb ta.

Samuti on küberintsidentide puhul oluline välja selgitada, kuidas ründaja süsteemile ligi pääses, sest vastasel juhul lööb äike uuesti samasse kohta. Lisaks tasuks igal juhul alustada puhtalt lehelt ehk täieliku reinstalliga ning päästetud andmed sinna keskkonda lisada. «Kunagi ei saa kindel olla, et ründaja ei jätnud mõnd avastamata tagaust süsteemi,» hoiatab ekspert.

Raha maksta ei soovitata

Kurjategijale maksmise koha pealt on Juhanson seda meelt, et raha annab neile vaid indu juurde. «Saadud raha kasutatakse pahavarade ja kuritegevuse edasiarendamiseks, mis tähendab, et rünnakud muutuvad veel ohtlikumaks ja lunarahanõuded suuremaks,» selgitab ta.

Samuti ei taga raha maksmine andmete vabastamist ega tagastamist. «On teada juhtumeid, kus pärast lunaraha maksmist paisati ohvri käest varastatud andmed müüki,» sõnab Juhanson ja soovitab kurjategijale maksmisega väga ettevaatlik olla.

Kui langed lunavararünnaku ohvriks, teavita sellest RIAt meiliaadressil cert@cert.ee. «Saame nõustada, kuidas konkreetses olukorras kõige paremini toimida, kuidas tuvastada ründeviisi ja ründajat, millist pahavara on kasutatud, kas andmeid on varastatud ning mida teha, et samalaadne intsident ei korduks,» loetleb Juhanson.

Kuidas kaitsta ennast, oma andmeid ja IT-süsteeme (sh arvutit ja nutiseadmeid) küberrünnaku eest?

  • Uuenda regulaarselt arvuti ja nutiseadmete tarkvara ning kasuta viirusetõrjet.
  • Laadi rakendused alla ainult ametlikust keskkonnast: Google Play Store, Apple App Store, Windows Store.
  • Tee oma failidest nii arvutis kui ka telefonis korrapäraselt tagavarakoopiaid ja veendu, et need ka töötavad.
  • Kasuta eri keskkondades erinevaid tugevaid paroole ja uuenda neid regulaarselt.
  • Kasuta kaheastmelist autentimist (loe täpsemalt RIA kodulehelt siit).
  • Ära avalikusta oma isiklikke andmeid ega jaga neid võõrastega.
  • Ole ettevaatlik oma eraelu kohta info jagamisel suhtlusvõrgustikes.
  • Ära ava tundmatuid kirju, linke ja manuseid. Kui su tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati üle, millega tegu.
  • Veendu, et veebileht, kuhu on tarvis isiklikke andmeid sisestada, on kaitstud turvalise krüpteeritud ühendusega: aadressi alguses on https (mitte http).
  • Ole tähelepanelik kirjavigade suhtes veebiaadressis, näiteks google.com on ohutu aadress, aga g00gle.com mitte.
  • Proovi vältida ühiskasutatavate ja avalike seadmete kasutamist. Kui see ei ole võimalik, veendu, et oled kõikidest külastatud ja sisselogitud kohtadest alati välja loginud.
  • Ulatusliku küberrünnaku puhul jälgi RIA jt asutuste juhiseid.
  • Kui langed küberkuriteo ohvriks, anna sellest teada politseile aadressil cybercrime@politsei.ee ja Riigi Infosüsteemi Ameti (RIA) intsidentide lahendamise osakonnale (CERT-EE) aadressil cert@cert.ee.

Loe soovitusi ja juhiseid täpsemalt RIA veebilehelt siin.

Kommentaarid

Märksõnad

Tagasi üles